Cybersikkerhet for små bedrifter: Minimumstiltakene du må ha på plass

Mange tror at dataangrep bare rammer store selskaper. Virkeligheten er en annen. Ifølge Nasjonal sikkerhetsmyndighet er små og mellomstore bedrifter blant de mest utsatte — nettopp fordi de ofte mangler grunnleggende sikkerhetstiltak.

Angripere vet at små bedrifter sjelden har dedikert IT-personell. De vet at ansatte bruker det samme passordet på jobb og privat. Og de vet at mange bedrifter aldri har tatt stilling til hva de gjør hvis noe går galt.

Konsekvensene kan være alvorlige: tap av kundedata, nedetid, økonomisk tap og brudd på personvernreglene. For en liten bedrift kan et alvorlig sikkerhetsbrudd true hele virksomheten.

Du trenger ikke gjøre alt på en gang. Start med disse fem tiltakene, i prioritert rekkefølge:

1. Bruk en passordbehandler. En passordbehandler lagrer alle passord trygt og lager sterke, unike passord for hver tjeneste. Uten en passordbehandler ender de fleste opp med å bruke det samme passordet overalt — og da holder det at én tjeneste blir hacket for at angripere får tilgang til alt.

2. Skru på tofaktorverifisering. Tofaktorverifisering betyr at du bekrefter innlogging med noe i tillegg til passordet — vanligvis en kode fra telefonen. Selv om noen stjeler passordet ditt, kommer de ikke inn uten den ekstra bekreftelsen. Prioriter e-post, banktjenester og skytjenester.

3. Hold programvare oppdatert. Sikkerhetsoppdateringer tetter hull som angripere utnytter. Slå på automatiske oppdateringer på datamaskiner, telefoner og nettbrett. Det tar noen minutter og gir mye beskyttelse.

4. Lær ansatte å gjenkjenne nettfiske. Nettfiske er falske e-poster som ser ut som de kommer fra kjente avsendere — banken, posten eller en kollega. De prøver å få deg til å klikke på en lenke eller oppgi innloggingsdetaljer. Gjennomfør en kort opplæring med alle ansatte.

5. Ta sikkerhetskopi av viktige data. Hvis alt annet feiler, er sikkerhetskopi siste forsvarslinje. Sett opp automatisk sikkerhetskopi til en skytjeneste eller ekstern disk. Test jevnlig at du faktisk kan gjenopprette dataene.

Sett av to timer til en gjennomgang av bedriftens digitale sikkerhet. Gå gjennom disse punktene:

Kartlegg tjenestene dere bruker. Lag en liste over alle nettbaserte tjenester bedriften bruker: e-post, regnskap, kundesystem, lagring, sosiale medier. For hver tjeneste, noter hvem som har tilgang og om tofaktorverifisering er skrudd på.

Sjekk passordpraksis. Bruker noen ansatte samme passord flere steder? Er passordene korte eller enkle å gjette? Hvis svaret er ja, er en passordbehandler det viktigste du kan gjøre.

Gjennomgå tilganger. Har tidligere ansatte fortsatt tilgang til bedriftens kontoer? Har alle ansatte tilgang til alt, selv om de bare trenger noen tjenester? Fjern unødvendige tilganger.

Test sikkerhetskopi. Har dere sikkerhetskopi av viktige filer og data? Når ble den sist testet? En sikkerhetskopi du aldri har testet er like usikker som ingen sikkerhetskopi.

Tenk deg en regnskapsbedrift med fem ansatte. Etter en slik gjennomgang oppdaget de at tre tidligere praktikanter fortsatt hadde tilgang til kundemappene, og at ingen hadde tofaktorverifisering på e-postkontoen. Begge deler ble fikset på under en time.

Nettfiske står bak over halvparten av vellykkede dataangrep mot norske bedrifter. Det fungerer fordi e-postene ser stadig mer troverdige ut.

Typiske kjennetegn du bør lære ansatte å se etter:

• Avsenderadressen stemmer ikke helt — for eksempel «faktura@postten.no» i stedet for «faktura@posten.no».
• E-posten skaper tidspress — «kontoen din stenges om 24 timer».
• Lenken peker et annet sted enn teksten antyder. Hold musepekeren over lenken uten å klikke for å se den faktiske adressen.
• E-posten ber om innloggingsdetaljer eller personlig informasjon.

Lag en enkel regel: Hvis du er i tvil, ikke klikk. Ring avsenderen direkte for å bekrefte. Det tar tretti sekunder og kan spare bedriften for store problemer.

Hvis noen likevel klikker på noe mistenkelig: Bytt passord umiddelbart, varsle kollegaer, og kontakt IT-støtte eller Datatilsynet hvis personopplysninger kan være berørt.

Deling av passord mellom ansatte. Mange små bedrifter deler én innlogging på tvers av teamet. Problemet er at du mister oversikten over hvem som gjør hva, og at du ikke kan fjerne tilgangen til én person uten å endre passordet for alle.

Ingen plan for hva som skjer ved et sikkerhetsbrudd. De fleste små bedrifter har ingen plan. Lag en enkel huskeliste: hvem kontakter vi, hvilke kontoer stenger vi, hvordan varsler vi berørte kunder.

Utsetting av sikkerhetsoppdateringer. «Oppdater senere» er en av de dyreste knappene i bedrifts-Norge. Kjente sikkerhetshull utnyttes ofte innen timer etter at de blir offentlig kjent.

Bruk av gratis e-posttjenester for bedriftspost. Gmail eller Outlook med privatadresse gir deg ikke kontroll over bedriftens data. En bedrifts-e-postløsning gir deg mulighet til å administrere tilganger, stille krav til passordstyrke og fjerne tilgang for ansatte som slutter.

Ha en enkel beredskapsplan klar. Den trenger ikke være lang — en halv A4-side er nok:

1. Begrens skaden. Endre passord på berørte kontoer. Koble fra enheter som kan være kompromittert.
2. Dokumenter hendelsen. Hva skjedde, når og hvordan ble det oppdaget? Skjermdumper er nyttige.
3. Vurder meldeplikt. Hvis personopplysninger om kunder er berørt, har du plikt til å varsle Datatilsynet innen 72 timer. Se sjekklisten vår for personvernregler for detaljer.
4. Varsle berørte. Kunder som kan være rammet skal informeres. Vær åpen og tydelig om hva som har skjedd og hva du gjør med det.
5. Lær av det. Etter at situasjonen er håndtert, gjennomgå hva som gikk galt og hva dere kan gjøre for å hindre at det skjer igjen.

De fleste sikkerhetshendelser kan håndteres uten ekstern hjelp hvis du oppdager dem tidlig. Jo raskere du reagerer, jo mindre blir konsekvensene.